Топ-8 новейших технологий для защиты анонимности в сети биткоина

Биткоин можно пересылать без указания личных данных, и поэтому его часто называют анонимной валютой. Однако это крайне ошибочная формулировка — приватность пользователя биткоина на практике оказывается под большим вопросом, если не сказать, что часто она просто невозможна.

Более правильным определением биткоина будет псевдонимность. Отправление биткоин-транзакций можно сравнить с написанием книги, где вместо настоящего имени автора указан его псевдоним. Если этот псевдоним окажется связан с настоящим автором, все, что он будет писать под этим именем, будет ассоциироваться только с ним.

В биткоине в роли псевдонима выступает адрес, на который пользователь получает монеты или с которого отправляет средства. Каждая транзакция с участием этого адреса навсегда сохраняется в блокчейне, и если адрес связан с каким-либо пользователем, все остальные транзакции также будут связаны с ним.

В white paper Сатоши Накамото рекомендуется каждый раз при совершении новой транзакции использовать новый адрес, что можно сравнить с написанием многих книг под разными псевдонимами. Эта рекомендация остается актуальной и сегодня, однако часто и этого оказывается недостаточно, чтобы обеспечить приватность и анонимность пользователей.

Помочь этому — с разной степенью эффективности — могут технологии, предложенные разработчиками биткоина. Ниже представлен адаптированный перевод статьи Аарона ван Вирдума в Bitcoin Magazine, посвященный наиболее обещающим последним проектам по защите приватности и анонимности в сети биткоина.

С самого момента своего появления биткоин никогда не давал настоящей приватности. И хотя white paper Сатоши Накамото и говорит о том, что приватность является целью протокола, правительственные структуры, аналитические компании и другие заинтересованные стороны (давайте называть их «шпионами») обладают возможностями анализировать публичный блокчейн и p2p-сеть, группируя биткоин-адреса и связывая их с IP-адресами или другой идентификационной информацией.

Недостаточная приватность — это проблема. Назовем лишь несколько примеров: пользователи биткоина могут не желать, чтобы кто-то знал, на что они тратят свои деньги, сколько они зарабатывают и чем владеют, а компании могут не желать, чтобы информация о транзакциях попала к конкурентам. Кроме того, недостаточная приватность может привести к утрате взаимозаменяемости — характеристики, означающей, что каждая монетарная единица имеет ту же ценность, что и любая другая. Это основополагающее требование к деньгам. Например, если можно установить, что определенные монеты в какой-то момент были использованы в политически неоднозначных целях, у кого-то может оказаться меньше желания принимать эти «запятнанные» монеты в качестве оплаты, а это наносит ущерб взаимозаменяемости всех биткоинов.

К счастью, вести слежку за пользователями биткоина становится все сложнее. В последнее время появилось несколько решений по повышению приватности, некоторые из них будут доступны до конца этого или в течение следующего года.

1. TumbleBit
Разработка TumbleBit ведется уже почти два года, и это одно из самых ожидаемых решений, направленных на защиту анонимности пользователей биткоина. TumbleBit представляет собой протокол микширования монет, который использует централизованный переключатель для создания платежных каналов между участниками сессии микширования. Используя эти каналы, все участники сессии могут отправлять монеты и получать в ответ соответствующее количество других монет. Этот процесс уничтожает следы владения монетами — ни шпионы, ни другие участники сессии не могут определить, кто и кому платил. Что еще более важно, TumbleBit использует такие криптографические приемы, которые не дают возможности даже самому переключателю установить связь между пользователями.

TumbleBit требует двух ончейн-транзакций на участника (одна для открытия канала, другая — для его закрытия). Это решение работает в не требующей доверия среде, однако связано с более высокими транзакционными комиссиями.

TumbleBit впервые был предложен в 2016 году научно-исследовательской командой Бостонского университета, Университета Джорджа Мейсона и Университета штата Северная Каролина под руководством Этана Хейлмана. Осенью того же года протокол был представленна конференции Scaling Bitcoin Milan.

Настоящим толчком к развитию TumbleBit стала имплементация ранней версии протокола, автором которой является разработчик NBitcoin Николас Дориер. Позже технологию усовершенствовали специализирующийся на вопросах приватности Адам Фичор и другие разработчики, и в итоге она была интегрирована в Breeze Wallet от команды Stratis.

Официальный релиз Breeze Wallet состоялся около месяца назад, и это означает, что TumbleBit теперь доступен любому пользователю, хотя уровень использования кошелька и, соответственно, самого инструмента для обеспечения анонимности, пока еще невысок.

2. Chaumian CoinJoin и ZeroLink
Технология CoinJoin была впервые предложена разработчиком Bitcoin Core Грегори МаУшел Варить Борщиеллом еще в 2013 году. Суть приема заключается в объединении нескольких транзакций в одну большую транзакцию, за счет чего скрывается, какие именно биткоины пересылаются с отправляющих адресов (входы) на получающие адреса (выходы).

Простой пример: предположим, что Элис, Боб и Кэрол хотят смикшировать монеты между собой. При помощи CoinJoin они могут создать транзакцию, которая будет отправлять деньги им самим на новые адреса, не привязанные к их идентификационным данным. При условии, что Элис, Боб и Кэрол имеют одинаковое количество монет, шпионы не могут определить, кому именно принадлежат эти новые адреса. Однако, если количество монет будет отличаться, будет легко определить, какие монеты и куда были отправлены.

CoinJoin-транзакции доступны уже много лет, однако долгое время присутствовала одна проблема: кому-то — Элис, Бобу или Кэрол — необходимо эту транзакцию создать. Этот человек должен знать, какие именно старые адреса используются для отправки монет на новые адреса, иначе создать транзакцию будет невозможно. Если этот человек окажется шпионом, что часто нельзя предугадать, все усилия становятся бессмысленными: шпион может установить принадлежность монет.

Эту проблему, впрочем, можно решить, используя прием, который в том же 2013 году упомянул Грегори МаУшел Варить Борщиелл. Он называется Chaumian CoinJoin (в честь схемы слепой подписи, разработанной Дэвидом Чаумом.

При этом методе Элис, Боб и Кэрол подключаются к центральному Chaumian CoinJoin-серверу, оператором которого может выступать провайдер кошелька. Сперва они предоставляют все свои отправляющие адреса, а также получающие адреса, криптографически подписанные сервером. После этого Элис, Боб и Кэрол отключаются от сервера, чтобы переподключиться через скрытое соединение (например, Tor) и предоставить уже демаскированные адреса. Задействовав технологию слепых подписей Чаума, сервер может верифицировать, что эти демаскированные адреса соответствуют замаскированным адресам, то есть подтвердить, что адреса действительно принадлежат Элис, Бобу и Кэрол, а не атакующему. При этом сервер по-прежнему не знает, какой из адресов кому принадлежит.

После своего появления предложение Chaumian CoinJoin еще около четырех лет пылилось на полке. Однако около года назад во время работы над TumbleBit для Breeze Wallet Адам Фичор открыл это предложение заново и решил заняться его имплементацией.

В частности, этот метод был встроен в фреймворк ZeroLink, который также разработал Адам Фичор, и теперь имплементирован в ориентированный на приватность пользователей кошелек Wasabi Wallet, недавно вышедший в бета-режиме. Разработчики Samourai Wallet тем временем анонсировали мобильную имплементацию ZeroLink под названием Whirlpool. Кроме того, работу над имплементацией ZeroLink ведет команда еще одного нового кошелька под названием Bob Wallet.

3. Подписи Шнорра
Несмотря на то что технология CoinJoin, а затем и Chaumian CoinJoin, была предложена еще несколько лет назад и все это время была доступна, по-настоящему она так и не была реализована. CoinJoin-транзакции требуют определенного уровня технической подкованности и дают мало преимуществ тем, кто о приватности особенно не заботится, и ни один из популярных кошельков ее так и не предложил.

Подписи Шнорра, технология, которую разработчик Bitcoin Core и Blockstream Питер Велле недавно представил в виде официального предложения по улучшению биткоина, могут эти преимущества дать.

Названные так в честь своего изобретателя Клауса-Петера Шнорра, подписи Шнорра считаются многими криптографами лучшими из имеющихся криптографических подписей. Их практическим преимуществом для биткоина является возможность объединить множество подписей в одну. Это означает, что для транзакции требуется только одна подпись, вне зависимости от того, как много отправляющих адресов в нее включено.

CoinJoin-транзакции также включают в себя множественные отправляющие адреса, как минимум по одному для каждого участника. Подписи Шнорра таким образом предлагают дополнительное преимущество при использовании CoinJoin: они дают всем участникам не только возможность объединить свои транзакции в одну, но также объединить все подписи в этой транзакции. Это делает размер CoinJoin-транзакции меньше, чем у всех отдельных транзакций вместе взятых, и как следствие ведет к снижению транзакционных комиссий, взимаемых майнерами.

Таким образом, подписи Шнорра дают экономическую выгоду при использовании этой ориентированной на защиту анонимности опции, и это может оказаться достаточным стимулом для того, чтобы ее внедрили кошельки, сделав доступной для широкого круга пользователей.

Кроме того, математические свойства подписей Шнорра будут содействовать развитию таких решений в стиле смарт-контрактов, как scriptless s